8 ข้อแนะนำ ปรับธุรกิจรับพรบ.คุ้มครองข้อมูลส่วนบุคคลเบื้องต้น ที่ทุกธุรกิจสามารถนำไปปรับใช้ได้

การปรับธุรกิจให้สอดคล้องต่อพรบ.คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่กำลังจะบังคับใช้ในเดือนมิถุนายน 2564 นี้ถือเป็นภารกิจสำคัญที่หลายธุรกิจกำลังต้องเผชิญ ในบทความนี้เราจึงนำสรุป 8 ข้อแนะนำเบื้องต้นให้ธุรกิจในทุกขนาดสามารถนำไปปรับใช้ได้ ดังนี้

1. PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป ผู้บริหารและพนักงานต้องให้ความสำคัญอย่างจริงจัง

สิ่งแรกที่ธุรกิจต้องเร่งปรับกันโดยด่วนนั้นก็คือมุมมองที่มีต่อ PDPA ว่าเป็นเรื่องไกลตัว เป็นข้อกฎหมายที่ไม่ได้เกี่ยวข้องใดๆ กับธุรกิจของตนเอง เพราะในความเป็นจริงแล้ว PDPA นั้นเป็นข้อกฎหมายที่ส่งผลกระทบต่อทุกธุรกิจอยู่แล้ว แต่อาจส่งผลกระทบมากน้อยแตกต่างกันไปตามประเภทของธุรกิจ และในอนาคตเมื่อธุรกิจเติบโตมากขึ้น PDPA ก็อาจเข้ามาส่งผลกระทบต่อธุรกิจมากขึ้นตามไปด้วย

การให้ความสำคัญและตื่นตัวต่อ PDPA นั้นจะทำให้ทั้งผู้บริหารและพนักงานได้เริ่มมีโอกาสทำความเข้าใจต่อตัวบทกฎหมาย และนำมาวิเคราะห์ปรับใช้ในธุรกิจของตนเองให้เหมาะสมได้ โดยยิ่งธุรกิจเริ่มทำ PDPA เร็วมากแค่ไหนก็ยิ่งส่งผลดีเท่านั้น เพราะในอนาคตเมื่อตัวกฎหมายมีรายละเอียดที่ชัดเจนมากยิ่งขึ้น หรือธุรกิจเริ่มต้องมีการใช้งานข้อมูลส่วนบุคคลมากขึ้น และมีการปรับกระบวนการหรือนโยบายในธุรกิจให้สอดคล้องต่อตัวกฎหมายตามไป ธุรกิจก็จะยิ่งก้าวสู่จุดที่มีความพร้อมต่อ PDPA มากขึ้นไปอย่างต่อเนื่อง และส่งผลให้ธุรกิจมีความน่าเชื่อถือทั้งจากสายตาของผู้บริหารและพนักงานภายใน ไปจนถึงลูกค้าและคู่ค้าภายนอก

ในขณะเดียวกัน หากเกิดกรณีที่ข้อมูลรั่วไหลขึ้นมา ธุรกิจที่มีความพร้อมต่อ PDPA ย่อมมีหลักฐานไปแสดงในชั้นศาลถึงความบริสุทธิ์ใจและความพยายามในการปกป้องข้อมูลส่วนบุคคลในฐานะของเหยื่อมากขึ้นเท่านั้น ต่างจากธุรกิจที่ขาดความพร้อมและตกเป็นจำเลยในกรณีที่มีข้อมูลรั่วไหลแต่ไม่มีหลักฐานของความพยายามในการปกป้องข้อมูลส่วนบุคคลแต่อย่างใด

2. วิเคราะห์ทำความเข้าใจถึงผลกระทบที่จะเกิดขึ้นต่อธุรกิจในการบังคับใช้ PDPA

PDPA นั้นส่งผลกระทบต่อแต่ละธุรกิจในระดับที่แตกต่างกัน โดยส่วนหนึ่งที่ทุกธุรกิจย่อมได้รับผลกระทบในระดับที่คล้ายคลึงกันนั้นก็คืองานในฝ่ายบุคคลที่ต้องมีการปกป้องข้อมูลส่วนบุคคลของพนักงานและผู้สมัครงาน ซึ่งถึงแม้แต่ละธุรกิจจะมีจำนวนพนักงานและผู้สมัครงานไม่เท่ากัน แต่กระบวนการและแนวทางในการจัดเก็บ จัดการ และใช้งานข้อมูลของพนักงานและผู้สมัครงานนี้ย่อมไม่แตกต่างกันมากนักหากต้องการปรับให้สอดคล้องต่อ PDPA และยังคงสามารถนำข้อมูลไปใช้ประโยชน์ได้ในระยะยาว

ในแง่ที่แตกต่างออกไปนั้นจะเป็นส่วนของการใช้ข้อมูลส่วนบุคคลของลูกค้าและคู่ค้า ซึ่งก็ขึ้นอยู่กับประเภทของธุรกิจว่าจำเป็นต้องมีการจัดเก็บข้อมูลเหล่านี้มากน้อยเพียงใด และจะนำข้อมูลเหล่านี้ไปใช้ประโยชน์ต่อยอดอย่างไรบ้างเพื่อให้เกิดขีดความสามารถในการแข่งขัน ประเด็นนี้จะส่งผลต่อทุกกระบวนการที่เกี่ยวข้องกับการจัดเก็บและจัดการข้อมูล รวมถึงการมอบสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลเหล่านี้เพื่อนำข้อมูลไปใช้งานในแง่มุมต่างๆ โดยตรง

ด้วยเหตุนี้ ธุรกิจจึงควรทำความเข้าใจต่อข้อกฎหมายและทำการวิเคราะห์โดยเร็วถึงผลกระทบที่จะเกิดขึ้นต่อธุรกิจของตนเอง เพื่อให้สามารถวางแผนและค่อยๆ ปรับเปลี่ยนกระบวนการทำงานในส่วนที่เกี่ยวข้องกับข้อมูลเพื่อให้สอดคล้องกับข้อกฎหมายต่อเนื่องไป

3. ปรับฐานความรู้ให้กับผู้บริหารและพนักงาน เพื่อให้เข้าใจภาพของ PDPA

เมื่อทั้งผู้บริหารและพนักงานเริ่มเห็นถึงความสำคัญของการทำ PDPA แล้ว ขั้นตอนถัดไปที่เหมาะสมนั้นก็คือการปูความรู้ความเข้าใจพื้นฐานเกี่ยวกับ PDPA ให้ตรงกันเสียก่อน เพื่อให้การทำงานร่วมกันในการปรับปรุงกระบวนการทำงานและนโยบายต่างๆ เป็นไปอย่างถูกต้องเหมาะสม และในอนาคต หากมีการเปลี่ยนแปลงเกิดขึ้นกับข้อกฎหมาย ทั้งองค์กรจะได้ปรับตัวตามความเปลี่ยนแปลงนั้นได้อย่างทันท่วงที

แนวทางหนึ่งที่ได้รับความนิยมคือการจัดการฝึกอบรมอย่างเร่งด่วนด้าน PDPA โดยแบ่งเนื้อหาให้เหมาะสมกับบทบาทของผู้บริหารและพนักงานแต่ละคน รวมถึงอาจมีการทำ Workshop เพื่อให้เกิดความรู้ความเข้าใจที่ถูกต้องร่วมกัน และนำไปสู่การต่อยอดในการปรับปรุงระบบงานได้

4. ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล

เมื่อทั้งผู้บริหารและพนักงานมีความเข้าใจใน PDPA แล้ว ขั้นตอนถัดไปก็คือการที่แต่ละส่วนของธุรกิจทำการวิเคราะห์เชิงลึกถึงกระบวนการต่างๆ ที่เกี่ยวข้องในการจัดเก็บ จัดการ และการใช้งานข้อมูลในส่วนธุรกิจของตนเอง มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้นๆ อย่างเหมาะสม

ในขณะเดียวกัน การกำหนดสิทธิ, หน้าที่ และกระบวนการที่เกี่ยวกับการเข้าถึงใช้งานข้อมูลที่ชัดเจนเองก็สำคัญไม่แพ้กัน เพื่อให้ธุรกิจนั้นมีการรับรู้อยู่เสมอว่าข้อมูลใดกำลังถูกนำไปใช้ทำอะไรโดยใครบ้าง และหากเกิดเหตุการณ์ข้อมูลรั่วไหลขึ้นมา ก็จะได้สามารถทำการวิเคราะห์หาต้นเหตุและแก้ไขปัญหาได้อย่างทันท่วงที

5. วางแผนรับมือในกรณีที่เกิดเหตุข้อมูลรั่วไหล

ไม่ว่าธุรกิจจะวางแผนปกป้องข้อมูลรั่วไหลมากเพียงใดก็ตาม ท้ายที่สุดแล้วทุกธุรกิจก็ยังอาจมีความเสี่ยงที่ข้อมูลส่วนบุคคลนั้นๆ จะเกิดการรั่วไหลได้อยู่ดี ดังนั้นการวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์นี้ขึ้นมาจริงๆ แล้ว ธุรกิจจะมีการรับมือหรือตอบสนองอย่างไรเพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้นๆ อย่างเหมาะสมก่อนที่เรื่องราวจะบานปลายและสร้างความเสียหายในปริมาณที่อาจคาดไม่ถึงได้

6. แจ้งเตือนเจ้าของข้อมูลถึงข้อมูลส่วนบุคคลและข้อมูลอื่นๆ ที่ธุรกิจจัดเก็บเอาไว้ และนโยบายเกี่ยวกับข้อมูลในอนาคต

อีกหนึ่งขั้นตอนมาตรฐานที่เราเริ่มเห็นธุรกิจองค์กรขนาดใหญ่ในไทยได้เริ่มทำกันมาอย่างต่อเนื่องมาระยะใหญ่แล้วนั้น ก็คือการแจ้งเตือนเจ้าของข้อมูลที่ธุรกิจเคยจัดเก็บมาก่อน เพื่อให้เจ้าของข้อมูลนั้นๆ ได้ทราบว่าธุรกิจเคยมีข้อมูลใดๆ มาก่อนบ้าง และข้อมูลเหล่านั้นถูกนำไปใช้ทำอะไร รวมถึงแจ้งให้ทราบถึงนโยบายในอนาคตที่จะทำเกี่ยวกับข้อมูลเหล่านี้ เช่น ธุรกิจอาจมีการเปิดให้เจ้าของข้อมูลแสดงความยินยอมเพิ่มเติม หรือการนำข้อมูลไปใช้งานในอนาคตที่อาจเปลี่ยนไป เป็นต้น

7. ทุกการสื่อสาร ต้องคำนึงถึงหลักฐานสำหรับใช้ในชั้นศาล

นอกเหนือจากกระบวนการภายในที่ต้องปรับเปลี่ยนแล้ว การสื่อสารเกี่ยวกับการจัดเก็บ จัดการ ใช้งานข้อมูลส่วนบุคคลนั้นก็ต้องมีการเปลี่ยนแปลงไปด้วย เพราะในระยะยาวหากมีประเด็นปัญหาใดๆ เกิดขึ้น การมีหลักฐานที่ชัดเจนถึงการแจ้งถึงการใช้ข้อมูลและการได้รับความยินยอมจากเจ้าของข้อมูลนั้นจะเป็นสิ่งที่สามารถช่วยธุรกิจให้พ้นจากวิกฤตนั้นๆ ได้เป็นอย่างดี

8. ตรวจสอบปรับปรุง ติดตามข้อกฎหมายอย่างต่อเนื่อง

สุดท้าย หลังจากนี้ข้อกฎหมายเกี่ยวกับ PDPA ก็ย่อมจะต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ไม่ว่าการจะมีกฎหมายลูกเพิ่มขึ้นมา การออกประกาศจากหน่วยงานต่างๆ ที่เกี่ยวข้องกับการบังคับใช้ และตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง และนำความรู้ใหม่ๆ ที่ได้รับนี้มาปรับใช้กับกระบวนการต่างๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลภายในองค์กรให้ดี

ขอรับคำปรึกษาด้าน PDPA ครบวงจรจากผู้เชี่ยวชาญด้านกฎหมายและเทคโนโลยี โดยทีมงาน AIS Cyber Secure

เพื่อให้ธุรกิจไทยทุกขนาดสามารถก้าวหน้าเติบโตต่อไปได้อย่างมั่นใจ ทีมงาน AIS Cyber Secure ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยพร้อมให้คำปรึกษาแบบครบวงจร ด้วยทีมงานด้านกฎหมาย ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย พร้อมประสบการณ์การปรับธุรกิจให้สอดคล้องต่อข้อกฎหมาย PDPA โดยตรงจาก AIS

ผู้ที่สนใจรายละเอียดเพิ่มเติมหรือต้องการขอรับคำปรึกษา สามารถติดต่อตัวแทนจาก AIS Business ที่ดูแลท่านได้โดยตรง หรือติดต่อทีมงาน AIS Cyber Secure ได้ทันทีที่ dp-ecs@ais.co.th